W przypadku gdy klienci zgłoszą się z problemem dotyczącym złośliwego oprogramowania ransomware w zależności od jego typu trzeba będzie im wytłumaczyć co mogą zrobić. Jak rozpoznać te popularne oraz jak przywrócić dane napiszemy poniżej.
Instrukcja jak korzystać z dekryptorów
Trojan-Ransom.Win32.*
Wszystkie pliki szyfrowane są w określony sposób, który polega na zmianie ich typu rozszerzenia oraz czasem nazwy. Jeśli któryś z szablonów pasuje do waszych plików to znaczy, że padliście jego ofiarą.
locked-„pierwotna_nazwa”.”cztery_przypadkowe_znaki”
na końcu nazwy pliku zostanie dodana etykietka: {CRYPTENDBLACKDC}
„pierwotna_nazwa”@”serwer pocztowy”_.”zmienna_ilość_przypadkowych_znaków”
„pierwotna_nazwa”.crypt
Aby poradzić sobie z takim przypadkiem należy ściągnąć oprogramowanie RannohDecryptor. Uruchomcie je i postępujcie zgodnie z instrukcjami.
Po kliknięciu w Change parameters można zadecydować czy usunąć od razu zaszyfrowane pliki po ich pomyślnym odszyfrowaniu oraz jakie dyski mają być sprawdzane. Po kliknięciu w Start Scan musicie podać ścieżkę do zaszyfrowanych plików. Na koniec pracy dostaniecie także raport podsumowujący zakres działań. Plik raportu będzie nazywał się według szablonu: NazwaNarzędzia.Wersja_Data_Czas_log.txt. W przypadku, gdy program natrafi na większy opór poinformuje o tym stosownym oknem:
Jeśli działania te nie pomogły należy spróbować także kolejnych dwóch programów: XoristDecryptor oraz RectorDecryptor. Oba działają identycznie jak RannohDecryptor.
CoinVault, Bitcryptor, CryptXXX
Wszystkie trzy programy szyfrują dysk i zostawiają po sobie dodatkowe rozszerzenie na końcu pliku .crypt. Dodatkowo okno żądające okupu będzie podpisane nazwą któregoś z wymienionych. Do ich zwalczania stworzono dwa programy, które znajdziecie tutaj. Po ściągnięciu należy je zainstalować (zacznijcie od jednego i jak nie pomoże ściągnijcie drugi) i uruchomić skanowanie, które powinno odnaleźć zainfekowane pliki i poradzić sobie z nimi. Program CoinVaultDecryptor działa identycznie do poprzednich:
Drugim programem jest RakhniDecryptor i również działa identycznie.
TeslaCrypt
Jego twórcy zawiesili rozwój oraz udostępnili uniwersalny klucz do wszystkich instancji oprogramowania. TeslaCrypt atakuje głównie pliki danych popularnych gier takich jak: seria Call of Duty , World of Warcraft, Minecraft czy World of Tanks. Celami są zapisy stanu gry, konta graczy albo mody. Darmowy program do pozbycia się TeslaCrypt znajdziecie tutaj. Po ściągnięciu go należy uruchomić Wiersz poleceń systemu Windows z uprawnieniami administratora:
Następnie przenieść się do katalogu, gdzie został zapisany plik, domyślnie Pobrane, wpisując dokładnie te komendy, każdą zatwierdzając osobno Enterem:
W przypadku, gdy weszliśmy do złego folderu komendą cd.. powracamy do poprzedniego – nadrzędnego katalogu. Na czerwono zaznaczyliśmy folder gdzie znajduje się dekryptor. Na niebiesko folder z zaszyfrowanymi plikami. Po wpisaniu ostatniej komendy jeśli wszystko poszło dobrze pojawi się taki ekran:
Locker v.*
To kolejny z ransomware, którego twórcy zawiesili działalność i udostępnili informacje niezbędne do stworzenia dekryptora. Aby rozpoznać, że to właśnie Locker zaatakował komputer to obrazek kłódki z logiem BitCoinów w oknie żądania okupu. Program do odszyfrowania danych jest do ściągnięcia tutaj.
Pozwala on na wygenerowanie hasła odszyfrowującego:
Nie jest on doskonały. Na przykład jeśli zacznie działać na niezainfekowanych plikach jest duża szansa na to, że je uszkodzi. Dlatego należy skopiować zainfekowane pliki do osobnego folderu przed całą operacją. Po zakończonej pracy może on automatycznie usunąć zaszyfrowane pliki, ale jako, że program wciąż jest w wersji rozwojowej lepiej nie aktywować tej opcji. Można także otrzymać raport o przeprowadzonych działaniach.
Mamy nadzieję, że dzięki tym wskazówką będziecie w stanie pomóc swoim klientom.